A hálózati hozzáférés korlátozása a FirewallD használatával
Linux-felhasználóként engedélyezheti vagy korlátozhatja a hálózati hozzáférést bizonyos szolgáltatásokhoz vagy IP-címekhez a tűzfal tűzfallal, amely a CentOS/RHEL 8 és a legtöbb RHEL rendszerben natív. alapú disztribúciók, például a Fedora.
A tűzfal tűzfal a firewall-cmd parancssori segédprogramot használja a tűzfalszabályok konfigurálásához.
Mielőtt bármilyen konfigurációt végrehajtanánk, először engedélyezzük a tűzfal szolgáltatást a systemctl segédprogrammal, az ábrán látható módon:
sudo systemctl enable firewalld
Ha engedélyezve van, elindíthatja a tűzfal szolgáltatást az alábbiak végrehajtásával:
sudo systemctl start firewalld
A tűzfal állapotát a következő parancs futtatásával ellenőrizheti:
sudo systemctl status firewalld
Az alábbi kimenet megerősíti, hogy a tűzfal szolgáltatás működik és működik.
Szabályok konfigurálása tűzfal segítségével
Most, hogy a tűzfalunk fut, rögtön nekiláthatunk néhány konfigurációnak. A Firewall lehetővé teszi portok hozzáadását és blokkolását, tiltólistát, valamint IP-címek engedélyezését a kiszolgálóhoz való hozzáférés érdekében. A konfigurációk elvégzése után mindig győződjön meg arról, hogy újratölti a tűzfalat, hogy az új szabályok életbe lépjenek.
TCP/UDP port hozzáadása
Port hozzáadásához mondja ki a 443-as portot a HTTPS esetén, használja az alábbi szintaxist. Vegye figyelembe, hogy a portszám után meg kell adnia, hogy a port TCP vagy UDP port-e:
sudo firewall-cmd --add-port=22/tcp --permanent
Hasonlóképpen, egy UDP port hozzáadásához adja meg az UDP opciót az ábrán látható módon:
sudo firewall-cmd --add-port=53/udp --permanent
A --permanent
jelző biztosítja, hogy a szabályok az újraindítás után is fennmaradjanak.
TCP/UDP port blokkolása
Egy TCP-port, például a 22-es port blokkolásához futtassa a parancsot.
sudo firewall-cmd --remove-port=22/tcp --permanent
Hasonlóképpen, az UDP port blokkolása ugyanazt a szintaxist fogja követni:
sudo firewall-cmd --remove-port=53/udp --permanent
Szolgáltatás engedélyezése
A hálózati szolgáltatások az /etc/services fájlban vannak meghatározva. Egy szolgáltatás, például a https engedélyezéséhez hajtsa végre a következő parancsot:
sudo firewall-cmd --add-service=https
Szolgáltatás letiltása
Egy szolgáltatás, például az FTP blokkolásához hajtsa végre a következőt:
sudo firewall-cmd --remove-service=https
IP-cím engedélyezése
Ha egyetlen IP-címet szeretne engedélyezni a tűzfalon, hajtsa végre a következő parancsot:
sudo firewall-cmd --permanent --add-source=192.168.2.50
Egy CIDR (Classless Inter-Domain Routing) jelöléssel IP-címek tartományát vagy egy teljes alhálózatot is engedélyezhet. Ha például egy teljes alhálózatot szeretne engedélyezni a 255.255.255.0 alhálózatban, hajtsa végre a parancsot.
sudo firewall-cmd --permanent --add-source=192.168.2.0/24
Az engedélyezési listán szereplő IP-cím eltávolítása
Ha el szeretne távolítani egy engedélyezőlistán szereplő IP-címet a tűzfalon, használja a --remove-source
jelzőt az alábbi módon:
sudo firewall-cmd --permanent --remove-source=192.168.2.50
A teljes alhálózathoz futtassa:
sudo firewall-cmd --permanent --remove-source=192.168.2.50/24
IP-cím blokkolása
Eddig azt láttuk, hogyan adhat hozzá és távolíthat el portokat és szolgáltatásokat, valamint hogyan vehet fel és távolíthat el engedélyezőlistán szereplő IP-címeket. Egy IP-cím blokkolásához „bővített szabályok” használatos erre a célra.
Például a 192.168.2.50 IP blokkolásához futtassa a következő parancsot:
sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"
A teljes alhálózat blokkolásához futtassa:
sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"
Tűzfalszabályok mentése
Ha bármilyen változtatást hajtott végre a tűzfalszabályokon, futtassa az alábbi parancsot a módosítások azonnali alkalmazásához:
sudo firewall-cmd --reload
A tűzfalszabályok megtekintése
Ha meg szeretné tekinteni a tűzfal összes szabályát, hajtsa végre a következő parancsot:
sudo firewall-cmd --list-all
Ezzel az útmutatóval zárul a hálózati hozzáférés engedélyezése vagy korlátozása a FirewallD használatával CentOS/RHEL 8 rendszeren. Reméljük, hogy hasznosnak találta ezt az útmutatót.